El servidor web no ve mi puerta de enlace.

El servidor web no ve mi puerta de enlace.

La red esta formada así internet>firewall>router>lan
Dentro de la lan hay servidor web con windows 2003, funciona lo probamos directo y funciona.
Las terminales de la lan se conectan al servidor web y tienen salida a internet sin problemas.
El router es MSI inalámbrico como una ip 192.168.0.15 para el firewall y una ip 192.168.0.254 que va a lan.
Todas las terminales incluida el servidor tiene como puerta de enlace la 192.168.0.254 del router y este luego lo pasa por la 192.168.0.1 del firewall.
Lo que yo veo es que cuando hago ping, desde el firewall (Sarge 3.1r4), a la ip 192.168.0.15 me responde sin problemas. Pero cuando lo hago para cualquier maquina de lan me contesta "From 192.168.0.1 icmp_seq=1 Destination Host Unreachable".
Mi sospecha es que cualquier petición que se realice desde el firewall no responde porque tiene que pasar por 2 puertas de enlace (192.168.0.254 y 192.168.0.1). Y ahí me quedo y no se como resolverlo.
Saludos
Pablo

pablogg escribió:

El servidor web no ve mi puerta de enlace.

La red esta formada así internet>firewall>router>lan
Dentro de la lan hay servidor web con windows 2003, funciona lo probamos directo y funciona.
Las terminales de la lan se conectan al servidor web y tienen salida a internet sin problemas.
El router es MSI inalámbrico como una ip 192.168.0.15 para el firewall y una ip 192.168.0.254 que va a lan.
Todas las terminales incluida el servidor tiene como puerta de enlace la 192.168.0.254 del router y este luego lo pasa por la 192.168.0.1 del firewall.
Lo que yo veo es que cuando hago ping, desde el firewall (Sarge 3.1r4), a la ip 192.168.0.15 me responde sin problemas. Pero cuando lo hago para cualquier maquina de lan me contesta "From 192.168.0.1 icmp_seq=1 Destination Host Unreachable".
Mi sospecha es que cualquier petición que se realice desde el firewall no responde porque tiene que pasar por 2 puertas de enlace (192.168.0.254 y 192.168.0.1). Y ahí me quedo y no se como resolverlo.
Saludos
Pablo

internet----firewall----router--------lan?
como se conecta tu firewall a internet? mediante cable? por una tarjeta? no se es que lo veo un poco raro
yo hubiese echo esto:
internet-------- router -----------firewall-----switch----------lan
|
servidor web
o esto:
internet-------firewall----------router--------lan
|
servidor web

yo lo tengo de la siguiente manera:

internet-------router--------servidor web + firewall--------switch-------- lan

el firewall tiene una regla para que las peticiones hacia el puerto 80 se queden en la misma maquina que tiene el servidor web y el resto de los puertos permitidos a la lan mediante nat/forwarding

ahora tengo una serie de preguntas

1) tu servidor web actualmente se ve desde internet? si es que si la cosa esta bien
2) tus maquinas tienen salida a internet? si es que si la cosa esta bien
3) desde tu lan ves al firewall? si es que si la cosa va bien, si es que no va bien solo que quieres poder llegar a tu firewall desde remoto en la lan y debes configurar la regla correctamente
4) desde tu firewall no ves a la lan esto no lo veo yo un problema, todo lo contrario una ventaja ya que si intentan bordear al firewall como no tiene una regla de routeo hacia la lan desde internet no podran entrar en tus maquinas de la lan(no lo he explicado muy bien, espero que se me entienda lo que quiero decir)

de todos modos una pregunta, el router para que lo utilizas? porque por como veo que lo tienes montado puedes usar perfectamente un switch y en tus maquinas clientes definir a tu firewall como puerta de enlace.

o es que usas tu router como servidor dhcp? y por eso necesitas que haga nat?

ahora viene lo mas importante.

indicas algo que veo como contradictorio
[QUOTE by=pabloqq]
Dentro de la lan hay servidor web con windows 2003

dices que el servidor web forma parte de la lan pero sin embargo haces referencia a lo siguiente
[QUOTE by=pabloqq]
Las terminales de la lan se conectan al servidor web y tienen salida a internet sin problemas.

Entonces con esto me pierdo, si tu red esta asi:

internet>firewall>router>lan

tu servidor web es un equipo mas de la lan

puede ser que tu router bloquee los paquetes icmp y por eso no significa que el puerto no este abierto si no que no contesta a ese tipo de protocolos

explica exactamente tu problema, es decir tu problema es solo que cuando haces un ping desde la lan tu router no contesta? o cual es el problema real

bueno me voy a echar un cafe que me he exprimido los sexos para averiguar cual es el problema (no te lo tomes a mas que yo tambien soy uno que no sabe explicarse a la hora de dar explicaciones)

El servidor web es una de las maquinas que esta dentro de la lan. Yo quería armar un DMZ pero el cliente no quería.
Las maquinas de lan se conectan al servidor internamente para cargarle información.
El servidor web no se ve desde internet
Las maquinas tienen salidas a internet
Desde la lan no veo al firewall
Desde el firewall no veo la lan
El router no tiene bloqueado el icmp

El servidor tiene una ip publica y la red es de este tipo internet>router>firewall>router-inalambrico>lan(clientes y servidor web)

Lo tenía todo armado lo que quería era poner un firewall Linux en el medio, sin hacer ningun cambio.
Les dejo la configuracion que esta por el momento, luego de probar de mil maneras.

#!/bin/bash
ifconfig eth1 192.168.0.1 netmask 255.255.255.0 up
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j DNAT --to 192.168.0.12:80
#iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
#iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
#iptables -A FORWARD -p tcp --dport 80 -d 192.168.0.12 -j ACCEPT
#iptables -A PREROUTING -t nat -p tcp --dport 80 -d ippublica -j DNAT --to 192.168.0.12:80
iptables --table nat --append POSTROUTING --out-interface eth2 -j MASQUERADE
iptables --append FORWARD --in-interface eth1 -j ACCEPT

La ip publica esta en la eth2, la lan eth1 el servidor tiene la ip 192.168.012

Gracias por la respuestas

Pablo

pablogg escribió:

El servidor web es una de las maquinas que esta dentro de la lan. Yo quería armar un DMZ pero el cliente no quería.
Las maquinas de lan se conectan al servidor internamente para cargarle información.
El servidor web no se ve desde internet
Las maquinas tienen salidas a internet
Desde la lan no veo al firewall
Desde el firewall no veo la lan
El router no tiene bloqueado el icmp

El servidor tiene una ip publica y la red es de este tipo internet>router>firewall>router-inalambrico>lan(clientes y servidor web)

Lo tenía todo armado lo que quería era poner un firewall Linux en el medio, sin hacer ningun cambio.
Les dejo la configuracion que esta por el momento, luego de probar de mil maneras.

#!/bin/bash
ifconfig eth1 192.168.0.1 netmask 255.255.255.0 up
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j DNAT --to 192.168.0.12:80
#iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
#iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
#iptables -A FORWARD -p tcp --dport 80 -d 192.168.0.12 -j ACCEPT
#iptables -A PREROUTING -t nat -p tcp --dport 80 -d ippublica -j DNAT --to 192.168.0.12:80
iptables --table nat --append POSTROUTING --out-interface eth2 -j MASQUERADE
iptables --append FORWARD --in-interface eth1 -j ACCEPT

La ip publica esta en la eth2, la lan eth1 el servidor tiene la ip 192.168.012

Gracias por la respuestas

Pablo

Hola Pablo, ahora mismo estoy liadete en el trabajo pero en cuanto llegue a mi casa le echo un vistazo es que no recuerdo algunos parametros como -t -j etc

para refrescarme la memoria, es posible que alguien te responda por si tienes algo que no este correcto

si quieres puedes hacer algo aunque creo que se trata de un entorno de producción no lo se, pero creo que podrias instalarte un entorno grafico minimo como blackbox sin gdm ni kdm ni leches para levantar el entorno grafico solo cuando vayas a aplicar cambios en el servidor firewall, y te instalas guarddoc y guidedoc, estos programas son complementarios entre si, el primero configura las reglas del cortafuegos y viene muy bien organizado, el segundo configura las reglas de nat/routing/forwarding etc..

yo lo hice asi ademas que usando un entorno grafico que utilice pocos recursos no pones en riesgo la estabilidad del sistema ni nada por el estilo (ya sabes la gente que suele aconsejar no instalar entorno grafico en un servidor) pero si no le instalas un gestor de sesiones solo arrancas las x para mantenimiento con lo cual creo que es una ventaja no? se que se puede configurar a mano pero desperdiciamos aquellas herramientas que nos permiten que nos compliquemos menos la vida

Lo manejo en forma remota al firewall, por consola.
Ya me acostumbre a usarlo y siempre me dijeron que a un firewall no hay que poner nada mas que lo necesario.
Te agradezco mucho tus repuestas
Saludos

Pablo

Monta un SHOREWALL y fuera problemas.
Si el cliente no quiere dmz pues le dices que sera lo mejor, argumentaselo ya que no es conveniente mezclar local con servidores.

Si no te aclaras para instalar el shorewall me lo dices y te ayudo. Te evitaras muchos problemas.

Edito: Te pongo lo que tienes que hacer sin explicaciones lo demas te lo lees. (man shorewall)

INSTALAR SHOREWALL

ssh maquina (si estas en tu casa)
apt-get install shorewall

CONFIGURAR SHOREWALL

cp /usr/share/doc/shorewall/default-config/ /etc/shorewall/

Modificamos: (nombre archivo>>modificacion (lo que añadas o modifiques antes de la ultima linea de los archivos))
-interfaces: net eth1 detect dhcp (interfaz conectada internet)
loc eth0 detect dhcp (interfaz red local>> pon dhcp si tienes un servidor dhcp para tu red local, no te confundas da = que tengas tu el server o te conectes a el)
dmz eth2 detect 192.168.1.255 (broadcast red dmz la ip para el server seria 192.168.1.0/255)

-masq: (interfaz internet >> interfaz red local/dmz)
eth1 eth0
eth1 eth2

-policy: (directivas de seguridad, todo cerrado y ya abriremos puertos)
net all DROP info
all all REJECT info

-shorewall.conf
modificas la variable: STARTUP_ENABLED=yes

-zones: (definimos zonas y sus nombres )
fw firewall
net ipv4
loc ipv4
dmz ipv4

-rules: (el archivo mas importante de todo esto)
SSH/ACCEPT net fw (si te conectas remotamente supongo que sera por ssh dejalo asi o no te podras conectar una vez lo arranquemos)
DNS/ACCEPT fw net (si tu probedor te da una ip aleatoria)
DNS/ACCEPT loc fw (si tienes montado un dhcp en tu fw (es decir la maquina que usas como firewall)
ACCEPT loc net tcp 80,443,1863,6891:6900,25,110 #abrimos puertos red local (http, https, msn/amsn, smtp, pop3)
ACCEPT loc net udp 80,443,1863,6891:6900,110
DNAT net dmz:192.168.1.5 tcp www (redirigimos puertos a la dmz, o si quieres cambias dmz por loc y le pones la ip fija al servidor web que tienes)
DNAT net dmz:192.168.1.5 udp www
ACCEPT loc dmz(o loc:192.168.x.x) tcp 137,138 (abres puertos de la loc a la dmz separados por comas, esos son de samba para poder administrarlo)
ACCEPT loc dmz udp 137:139

Recuerda abrir el puerto ssh desde internet al fw por que si no no podras entrar.

y por ultimo modifica /etc/default/shorewall startup=yes o algo parecido.

y terminamos
/etc/init.d/shorewall start

Parece ser que están aflojando con el tema del dmz, visto que la cosa no funciona. Así que voy si lo armo.
Siempre lo arme con Iptables, pero lo del Shorewall no lo conocía, así que lo voy a estudiar para ver como queda. Cualquier cosa pego un grito.
Muchas gracias a todos por su interés en ayudarme.

Pablo

pablogg escribió:

Parece ser que están aflojando con el tema del dmz, visto que la cosa no funciona. Así que voy si lo armo.
Siempre lo arme con Iptables, pero lo del Shorewall no lo conocía, así que lo voy a estudiar para ver como queda. Cualquier cosa pego un grito.
Muchas gracias a todos por su interés en ayudarme.

Pablo

bueno el shorewall no te creas que es distinto es solo un constructor de reglas para iptables

basicamente lo mismo que hace guarddoc y guidedoc solo que sin entorno grafico